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Samenvatting en conclusies 



Inleiding 

In 2012 zou de Europese Richtlijn voor gegevensbescherming uit 1995 worden herzien om deze aan te 
passen aan voortschrijdende technologische ontwikkelingen. Na een brede consultatie is besloten de 
richtlijn te vervangen door de Europese Dataprotectieverordening 1 . In de voorliggende rapportage zijn 
de kwantitatieve effecten (in termen van administratieve lasten en nalevingskosten 2 ) van de Datapro- 
tectieverordening voor het Nederlandse bedrijfsleven in kaart gebracht. 

Bevindingen 

De totale lasten van de voorgenomen Dataprotectieverordening voor het Nederlandse bedrijfsleven 
zijn weergegeven in tabel 1. De totale lasten van de huidige Wet bescherming persoonsgegevens voor 
het Nederlandse bedrijfsleven zijn weergegeven in tabel 2. Opgemerkt wordt dat de lasten van meer- 
dere verplichtingen niet konden worden gekwantificeerd. Daardoor kunnen de feitelijke lasten in 
praktijk hoger uitvallen. 



Tabel 1. Totale lasten op grond van de Europese Dataprotectieverordening. 



Type lasten 




Lage schatting 




Hoge schatting 


Administratieve lasten (AL) 


€ 


1.490.532 


€ 


1.490.532 


Nalevingskosten (NK) 


€ 


1.123.998.948 


€ 


1.467.573.948 


Totaal 


€ 


1.125.489.480 


€ 


1.469.064.480 



De bandbreedte die hierbij is aangehouden, houdt verband met de onzekerheid over de exacte invul- 
ling van de documentatieverplichting uit artikel 28 van de voorgenomen Dataprotectieverordening. Op 
dit moment is niet duidelijk hoe dit artikel in de praktijk zal worden geïmplementeerd. Het artikel 
verplicht bedrijven om de documenten te bewaren inzake alle verwerkingen van persoonsgegevens die 
onder hun verantwoordelijkheid plaatsvinden, in plaats van een algemene kennisgeving te doen aan 
de toezichthoudende autoriteit overeenkomstig de artikelen 18 en 19 van Richtlijn 95/46/EG. 



Tabel 2. Totale lasten op grond van de Nederlandse Wet bescherming persoonsgegevens. 



Type lasten 




Lasten 


Administratieve lasten (AL) 


€ 


1.726.363 


Nalevingskosten (NK) 


€ 


70.804.716 


Totaal 


€ 


72.531.079 



1 Europese verordeningen zijn de meest directe vorm van wetgeving van de EU. Zodra verordeningen zijn vastge- 
steld, hebben zij in alle lidstaten onmiddellijk rechtstreeks bindende werking. Verordeningen worden ofwel vast- 
gesteld door de Raad van de EU en het Europees Parlement gezamenlijk ofwel door de Europese Commissie alleen. 
Richtlijnen vereisen van lidstaten dat zij een bepaald resultaat bereiken zonder hierbij voor te schrijven met 
welke middelen dit resultaat moet worden bereikt. Lidstaten moeten richtlijnen door middel van wetten en beslui- 
ten omzetten in nationaal recht. 

2 Administratieve lasten zijn de lasten van bedrijven om te voldoen aan informatieverplichtingen uit wet- en regel- 
geving. Nalevingskosten zijn de lasten van bedrijven om te voldoen aan overige verplichtingen uit wet- en regelge- 
ving. 
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Conclusies 

■ Te zien is dat de administratieve lasten in beide regelingen een klein deel uitmaken van de totale 
lasten; de nalevingskosten zijn vele malen groter. 

■ Met de inwerkingtreding van de voorgenomen Dataprotectieverordening dalen de administratieve 
lasten licht, maar stijgen de nalevingskosten significant. 

■ Het totale kwantificeerbare effect van de voorgenomen Europese Dataprotectieverordening op de 
lasten voor het Nederlandse bedrijfsleven komt hiermee uit op een toename van € 1.052.958.401 
(lage schatting) dan wel € 1.396.533.401 (hoge schatting). 

Evaluatie 

Het onderzoek is uitsluitend gericht op het kwantificeren van de effecten van de voorgenomen Da- 
taprotectieverordening op de administratieve lasten en nalevingskosten voor bedrijven in Nederland. 
Andere financiële effecten zijn niet in het onderzoek meegenomen. 

Zoals hierboven reeds is beschreven met betrekking tot de invulling van artikel 28, laat de voorgeno- 
men Dataprotectieverordening een zekere ruimte voor de interpretatie van verplichtingen. Hierdoor is 
op voorhand niet altijd goed in te schatten op welke wijze en door welke bedrijven verplichtingen 
moeten worden ingevuld. Het gevolg hiervan is dat ook de bijbehorende lasten voor bedrijven van 
tevoren niet exact zijn vast te stellen. In het onderzoek is dan ook veelal gewerkt met aannames en 
veronderstellingen. Deze aannames en veronderstellingen zijn verantwoord in de voorliggende rappor- 
tage en zijn tevens terug te vinden in het bijgevoegde Standaard Kostenmodel (SKM) 3 . 



3 Het SKM is een model dat is ontwikkeld voor het berekenen van administratieve lasten. 
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1 Inleiding 

Met de opkomst van de sociale media en de toename van het digitale tijdperk hebben mensen het 
meedelen van hun persoonlijke informatie op internet aanvaard als een deel van het moderne leven. 
Uit de "Eurobarometer" van de EU van juni 2011 blijkt daarentegen dat ongeveer 80% van de Europe- 
anen die actief zijn op het internet, het gevoel heeft de controle over zijn persoonsgegevens te zijn 
verloren. 

Dit is een belangrijke indicatie dat de huidige nationale en Europese regelgeving niet langer voldoet 
om een aanvaardbaar beschermingsniveau van onze persoonsgegevens te garanderen. De Europese 
richtlijn bescherming persoonsgegevens (95/46/EC) 4 , die reeds dateert van 1995, is niet aangepast 
aan de snel evoluerende en steeds internationalere, digitale wereld. 

Hoewel de richtlijn als verdienste heeft dat zij een minimaal beschermingsniveau in de EU kon invoe- 
ren, heeft zij ook tot een enorme versnippering geleid, nu zij vaak op verschillende manieren werd 
omgezet en geïnterpreteerd in de 27 nationale wetgevingen. Dit leverde extra kosten op voor onder- 
nemingen die in de hele EU actief zijn. In Nederland is de richtlijn geïmplementeerd in de Wet be- 
scherming persoonsgegevens. 

In 2012 zou de Europese Richtlijn voor gegevensbescherming uit 1995 worden herzien om deze aan te 
passen aan voortschrijdende technologische ontwikkelingen. Na een brede consultatie heeft Euro- 
commissaris Reding besloten de richtlijn te vervangen door de Europese Dataprotectieverordening 5 . 

Het Ministerie van Economische Zaken heeft aan SIRA Consulting gevraagd om de kwantitatieve effec- 
ten (in termen van administratieve lasten en nalevingskosten) van de Europese Dataprotectieverorde- 
ning voor het Nederlandse bedrijfsleven in kaart te brengen. De resultaten van het onderzoek zijn 
opgenomen in de voorliggende rapportage. 



4 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van 
natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die 
gegevens, Publicatieblad L 281. Richtlijnen van de EU vereisen van lidstaten dat zij een bepaald resultaat bereiken 
zonder hierbij voor te schrijven met welke middelen dit resultaat moet worden bereikt. Lidstaten moeten richtlij- 
nen door middel van wetten en besluiten omzetten in nationaal recht. 

5 (Voorstel voor een) Verordening van het Europees Parlement en de Raad van 25 januari 2012 betreffende de 
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het 
vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012) 11. Europese verordenin- 
gen zijn de meest directe vorm van wetgeving van de EU. Zodra verordeningen zijn vastgesteld, hebben zij in alle 
lidstaten onmiddellijk rechtstreeks bindende werking. Verordeningen worden ofwel vastgesteld door de Raad van 
de EU en het Europees Parlement gezamenlijk ofwel door de Europese Commissie alleen. 
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Doelstellingen 



De doelstellingen van het onderzoek "Toetsing Europese Dataprotectieverordening" zijn als volgt 
geformuleerd: 

1 . Het beschrijven van de (informatie)verplichtingen van de Europese Dataprotectieverordening en 
het vergelijken hiervan met de huidige regelgeving. 

2. Het, met behulp van de methodiek van het Standaard Kostenmodel (SKM) 6 , kwantificeren van de 
geïdentificeerde effecten op de administratieve lasten (AL) en nalevingskosten (NK) 7 voor bedrij- 
ven van de voorgenomen wet- en regelgeving en deze vergelijken met de huidige situatie. 

3. Het vergelijken van de uitgangspunten en de resultaten van de impact assessment van VNO-NCW, 
het Verenigd Koninkrijk en Duitsland met de uitkomsten op basis van de berekening met het SKM. 



6 Voor de berekening van de administratieve lasten voor bedrijven is een methode opgesteld door de voormalige 
Regiegroep Regeldruk, die is vastgelegd in het document 'Meten is Weten II' (2008). Voor de berekening van de 
lasten is in dit onderzoek gebruikgemaakt van het 'Standaardkostenmodel administratieve lasten bedrijven'. De 
originele methodiek is onder meer door SIRA Consulting voor het Ministerie van Financiën ontwikkeld. 

7 Administratieve lasten zijn de lasten van bedrijven om te voldoen aan informatieverplichtingen uit wet- en regel- 
geving. Nalevingskosten zijn de lasten van bedrijven om te voldoen aan overige verplichtingen uit wet- en regelge- 
ving. 




3 Werkwijze en uitgangspunten 

3.1 Werkwijze 

Het project is uitgevoerd in vier stappen, die in de onderstaande alinea's zijn toegelicht. 
Stap 1 . Vaststellen uitgangspunten en uitvoeren bureauonderzoek 

Ter voorbereiding van het onderzoek is door het Ministerie van Economische Zaken en het Ministerie 
van Veiligheid en Justitie een belangrijk deel van de voor het onderzoek benodigde informatie be- 
schikbaar gesteld. SIRA Consulting heeft deze informatie geanalyseerd en op basis hiervan de aanpak 
van het onderzoek afgestemd. Het ging hierbij voornamelijk om het afstemmen van de procesmatige 
aspecten van het onderzoek en het vastleggen van de uitgangspunten, regelgeving en documenten die 
als basis dienen voor het onderzoek. 

Op basis van de meest actuele versie van de voorgenomen Europese Dataprotectieverordening en de 
geconsolideerde versie van de Nederlandse Wet bescherming persoonsgegevens is een kwalitatieve 
beschrijving gemaakt van de huidige en voorgenomen regelgeving. De beschrijving bevat een overzicht 
van de verschillen tussen de huidige verplichtingen en die van de voorgenomen verordening. 

Stap 2. Uitvoeren interviews met beleidsdeskundigen en maken eerste kwantificering van lasten 

De kwalitatieve beschrijving van de huidige en voorgenomen regelgeving uit stap 1 is vervolgens in 
een interview afgestemd met het Ministerie van Veiligheid en Justitie. Om de kosten en beschikbare 
tijd in het onderzoek zo efficiënt mogelijk in te zetten, zijn vervolgens de lasteneffecten in eerste 
instantie gekwantificeerd aan de hand van gegevens die al beschikbaar zijn. Hierbij is met name ge- 
bruikgemaakt van de kostenberekening die is uitgevoerd door VNO-NCW, omdat deze kostenbereke- 
ning het meest op maat is gemaakt voor de Nederlandse situatie. Bij het uitvoeren van de voorlopige 
kostenberekening heeft SIRA Consulting de gegevens zodanig verwerkt dat deze herleidbaar zijn tot de 
bron en dat ze geschikt zijn voor eventuele toekomstige onderzoeken. 

Daarnaast is een interview gehouden met VNO-NCW voor een nadere toelichting op de door VNO-NCW 
gemaakte schatting van de lasten voor het Nederlandse bedrijfsleven. In het interview is de kostenbe- 
rekening van VNO-NCW kritisch doorgenomen en is nagegaan of de gevolgen van deze verplichtingen 
uit de Dataprotectieverordening juist zijn geïnterpreteerd. Daarnaast is besproken van welke bronnen 
door VNO-NCW gebruik is gemaakt en van welke aannames en veronderstellingen is uitgegaan. Op 
basis van de resultaten van het interview met VNO-NCW zijn de lasten op grond van de voorgenomen 
Dataprotectieverordening en de huidige regelgeving aangepast in de voorlopige kostenberekening. 
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Stap 3. Uitvoeren interviews met uitvoeringsdeskundigen 

In stap 3 zijn de geïnventariseerde gegevens en gehanteerde aannames geverifieerd met deskundigen 
uit de praktijk. Tevens zijn ontbrekende gegevens verzameld. Doordat in stap 2 zoveel mogelijk ge- 
bruik is gemaakt van de kennis van specialisten, is het aantal interviews in stap 3 beperkt. Bovendien 
bleek tijdens het uitvoeren van de interviews dat veel uitvoeringsdeskundigen geen schatting konden 
maken van de lasten van de huidige dan wel de voorgenomen regelgeving. De gegevensverzameling 
heeft dan ook alleen plaatsgevonden bij uitvoeringsdeskundigen die wel in kwantitatieve zin een 
schatting konden maken van de lasten. 

Op basis van de resultaten van de interviews met uitvoeringsdeskundigen zijn de lasten aangepast in 
de kostenberekening. Hiermee is de berekening van de lasten voor het Nederlandse bedrijfsleven 
compleet gemaakt. Ten behoeve van de vergelijkbaarheid van de verschillende resultaten binnen het 
project, maar ook met andere lastenmetingen, is bij de kostenberekening gebruikgemaakt van de 
landelijke meetmethodieken. In dit onderzoek is daarom het SKM gehanteerd. Het SKM biedt verder 
het voordeel dat alle gegevens in het model herleidbaar zijn naar de brongegevens en dat alle hier- 
mee uitgevoerde berekeningen transparant zijn. 

Naast de kwantitatieve gegevens die zijn verwerkt in het SKM, zijn tijdens de interviews ook kwalita- 
tieve gegevens besproken. Alle relevante kwalitatieve gegevens zijn opgenomen bij de beschrijving 
van de verplichtingen in hoofdstuk 4 van deze rapportage. 

Stap 4. Consolidatie en eindrapport 

In de laatste fase van het onderzoek zijn de resultaten van het onderzoek verwerkt in de voorliggende 
rapportage. Hierbij zijn zowel de kwantitatieve als de kwalitatieve effecten van de huidige en voor- 
genomen regelgeving meegenomen. Daarnaast is een vergelijking gemaakt met de eerder uitgevoerde 
impact assessments. 

Deze rapportage is met de opdrachtgever besproken. De rapportage is voorzien van een Nederlandse 
en Engelse managementsamenvatting van de resultaten van het onderzoek. 




3.2 Uitgangspunten 

Tijdens het onderzoek zijn enkele uitgangspunten gehanteerd, die in de onderstaande alinea's zijn 
toegelicht. 

1 . AL en NK worden berekend met behulp van methodiek van SKM 

AL zijn de lasten van bedrijven om te voldoen aan informatieverplichtingen uit wet- en regelgeving. 
NK zijn de lasten van bedrijven om te voldoen aan overige verplichtingen uit wet- en regelgeving. 
Onder deze overige verplichtingen vallen ook informatieverplichtingen aan andere partijen dan de 
overheid. 

De AL en NK zijn berekend met behulp van de methodiek van het SKM voor bedrijven. 

2. Kostenberekening heeft alleen betrekking op AL en NK 

Conform opdrachtverstrekking is het onderzoek uitsluitend gericht op het kwantificeren van de effec- 
ten van de voorgenomen Dataprotectieverordening op de AL en NK voor bedrijven in Nederland. Ande- 
re financiële effecten zijn niet in het onderzoek meegenomen. 

3. Onderzoek is uitgevoerd op basis van voorstel d.d. 25 januari 2012 

Het onderzoek is uitgevoerd op basis van het voorstel voor een Verordening van het Europees Parle- 
ment en de Raad van 25 januari 2012 betreffende de bescherming van natuurlijke personen in verband 
met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algeme- 
ne verordening gegevensbescherming) 8 . 



8 COM(2012) 11. 
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Vergelijking verplichtingen 



In dit hoofdstuk worden de verplichtingen op grond van de huidige Nederlandse Wet bescherming 
persoonsgegevens inhoudelijk vergeleken met de verplichtingen op grond van de voorgenomen Euro- 
pese Dataprotectieverordening. Hierbij wordt de structuur aangehouden die is weergegeven in onder- 
staand figuur. 



§ 4.2 Wet bescherming persoonsgegevens 






§4.1 






5 4.3 Dataprotectieverordening 



Figuur 1. Verhouding tussen de verplichtingen in de huidige en de voorgenomen situatie. 
Dit betekent dat de volgende driedeling wordt gehanteerd: 

1 . Verplichtingen die gelden op grond van zowel de Wet bescherming persoonsgegevens als de Da- 
taprotectie vero rd e n i n g ( g roe n ) . 

2. Verplichtingen die alleen gelden op grond van de Wet bescherming persoonsgegevens (geel). 

3. Verplichtingen die alleen gelden op grond van de Dataprotectieverordening (blauw). 

Bij iedere categorie zijn de verplichtingen onderverdeeld naar informatieverplichtingen en overige 
verplichtingen. Informatieverplichtingen veroorzaken AL, overige verplichtingen leiden tot NK. 




4.1 Verplichtingen die gelden in de huidige en de voorgenomen situatie 

Deze paragraaf beschrijft de verplichtingen die gelden op grond van zowel de huidige Nederlandse 
Wet bescherming persoonsgegevens (Wbp) als de voorgenomen Europese Dataprotectieverordening 
(Dpv). Het bedrijfsleven heeft namelijk te maken met verplichtingen in de huidige regelgeving die in 
meer of mindere mate overeenkomen met verplichtingen uit de voorgenomen verordening. Sommige 
verplichtingen keren geheel ongewijzigd terug in de voorgenomen verordening, anderen verplichtin- 
gen keren terug in enigszins gewijzigde vorm. Waar nodig, is per verplichting een toelichting opgeno- 
men. De toelichting bevat onder andere: 

■ Een beschrijving van de wijziging in de verplichting, wanneer deze in gewijzigde vorm terugkeert 
in de verordening. 

■ Indien van toepassing, de vermelding dat de verplichting niet kon worden gekwantificeerd. 

■ De aannames die moesten worden gedaan bij het kwantificeren van de verplichting. 

Informatieverplichtingen die AL veroorzaken 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


23 


Aanvragen ontheffing op verbod verwerking 
persoonsgegevens op grond van artikel 16 


9 


Aanvragen ontheffing op verbod verwerking 
persoonsgegevens op grond van artikel 9 


In artikel 9 Dpv ligt een impliciete ontheffingsmogelijkheid besloten. 

De aanname voor de berekening is dat het aantal ontheffingen niet wijzigt vanwege de Dpv. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


25 


Aanvragen erkenning gedragscode 


38 


Aanvragen erkenning gedragscode 


In zowel de Wbp als de Dpv is de aanvraag erkenning gedragscode niet verplicht. De handeling is toch meege- 
nomen in het onderzoek, omdat de lasten wel zijn meegenomen in de nulmeting AL. Hierdoor wordt de verge- 
lijkbaarheid met de nulmeting AL gewaarborgd. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


32 


Melden gegevensverwerking waarop artikel 31, 
eerste lid van toepassing is bij CBP 


34 


Raadplegen toezichthoudende autoriteit voor- 
afgaand aan verwerking persoonsgegevens 


De aanname voor de berekening is dat de lijst van verwerkingen waarop de verplichting van toepassing is, niet 
wijzigt vanwege de Dpv. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


63 


Aanmelden functionaris voor gegevensbescher- 
ming bij CBP 


35 


Meedelen naam en contactgegevens functiona- 
ris voor gegevensbescherming 


In de Wbp is de aanstelling van een functionaris voor gegevensbescherming geen verplichting. In de Dpv is dit 
voor bepaalde bedrijven wel een verplichting. De handeling is voor beide situaties meegenomen, omdat de 
lasten wel zijn meegenomen in de nulmeting AL. Hierdoor wordt de vergelijkbaarheid met de nulmeting AL 
gewaarborgd. 

Het aantal keer dat deze handeling wordt uitgevoerd, stijgt in de Dpv. Dit komt doordat het aantal aanstellin- 
gen van een functionaris voor gegevensbescherming stijgt, omdat dit voor bepaalde bedrijven verplicht wordt. 
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Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


77 


Aanvragen vergunning voor doorgifte of catego- 
rie doorgiften persoonsgegevens naar derde land 
dat geen waarborgen voor een passend be- 
schermingsniveau biedt 


34 


Vragen toestemming toezichthoudende autori- 
teit voorafgaand aan verwerking persoonsge- 
gevens 


44 


In kennis stellen toezichthoudende autoriteit 
van doorgifte bij gerechtvaardigde belangen 
verantwoordelijke of verwerker inclusief 
documentatie 


De lasten zijn vergelijkbaar, maar de Dpv biedt bedrijven meer keuzemogelijkheden. Zo kunnen grote bedrijven 
bindende bedrijfsvoorschriften opstellen en laten goedkeuren, zodat ze geen toestemming nodig hebben. Het 
opstellen en laten goedkeuren van dergelijke bindende bedrijfsvoorschriften is echter geen verplichting. Moge- 
lijk neemt het aantal benodigde toestemmingen in de loop der tijd hierdoor wel af. 



Overige verplichtingen die NK veroorzaken 



Art. 



Verplichting op grond van Wbp 



Art. 



Verplichting op grond van Dpv 



13 



Waarborgen passende technische en organisato- 
rische maatregelen om persoonsgegevens te 
beveiligen tegen verlies of tegen enige vorm van 
onrechtmatige verwerking 



30 



Waarborgen passend beveiligingsniveau gege- 
vens 



De lasten van deze verplichting konden niet worden gekwantificeerd en betreffen bovendien bedrijfseigen 
kosten. 

De verplichting is in de Dpv uitgebreid tot de verwerker, ongeacht diens contract met de verantwoordelijke. 
Dit kan voor de verwerker een reden zijn om meer beveiligingsmaatregelen te nemen, waardoor ervan wordt 
uitgegaan dat het voldoen aan de verplichting in de Dpv mogelijk meer lasten veroorzaakt dan in de Wbp. 

De aan deze verplichting ten grondslag liggende verplichte risico-evaluatie is expliciet opgenomen in de Dpv. 
Impliciet geldt de verplichting tot het uitvoeren van een risico-evaluatie echter ook al in de Wbp. Bovendien 
gaat het bij een risico-evaluatie om bedrijfseigen kosten, die niet worden meegenomen in het onderzoek. 
Hierover wordt nog wel opgemerkt dat de evaluatie van een risico (= kans x impact) door organisaties traditio- 
neel wordt uitgevoerd vanuit het risico voor de organisatie. De Dpv richt zich echter (ook) op het risico voor de 
persoonsgegevens en de betrokkene. 



Art. 


Verplichting op grond van Wbp 




Art. 


Verplichting op grond van Dpv 


14 


Vastleggen overeenkomst/ rechtshandeling met 
bewerker 


26 


Regelen uitvoering verwerkingen door verwer- 
ker in overeenkomst/rechtshandeling 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


31 


Meewerken aan voorafgaand onderzoek door 
CBP 


34 


Meewerken aan toezicht door toezichthouden- 
de autoriteit 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


33- 
34 


Mededelen identiteit, doeleinden verwerking en 
nadere informatie aan betrokkene (actief) 


14 


Verschaffen alle informatie en mededelingen 
over de verwerking van persoonsgegevens aan 
betrokkene (actief) 


De lasten van deze verplichting konden niet worden gekwantificeerd; tijdens het onderzoek is gebleken dat 
bedrijven niet in staat zijn om aan te geven welke lasten zij maken voor het voldoen aan deze verplichting. 
Ook in voorgaande onderzoeken zijn de lasten voor het voldoen aan deze verplichting niet gekwantificeerd. In 
de Wbp is de informatieverstrekking echter minder uitgebreid dan in de Dpv, waardoor ervan wordt uitgegaan 
dat het voldoen aan de verplichting in de Dpv meer lasten veroorzaakt dan in de Wbp. 




Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


35 


Aan betrokkene meedelen of persoonsgegevens 
worden verwerkt en verstrekken gegevens (pas- 
sief) 


12 


Informeren betrokkene over actie naar aanlei- 
ding van verzoek en verstrekken informatie 


15 


Aan betrokkene verstrekken uitsluitsel of 
persoonsgegevens worden verwerkt en ver- 
strekken gegevens (passief) 


De lasten zijn vergelijkbaar. De informatieverstrekking in de Wbp is minder uitgebreid dan in de Dpv, waardoor 
ervan wordt uitgegaan dat het voldoen aan de verplichting in de Dpv meer lasten veroorzaakt dan in de Wbp. 
Deze toename van lasten is echter niet kwantificeerbaar. 

De aanname voor de berekening is dat kleine bedrijven (< 200 werknemers) 1 keer per jaar en grote bedrijven 
(> 200 werknemers) 10 keer per jaar moeten voldoen aan deze verplichting. Dit betreft een conservatieve 
schatting. 




Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


36 


Reageren op verzoek betrokkene tot wijziging 
persoonsgegevens en uitvoeren wijziging 


12 


Informeren betrokkene over actie naar aanlei- 
ding van verzoek en verstrekken informatie 


16 


Rectificeren of completeren persoonsgegevens 


17 


Wissen en tegengaan verdere verspreiding 
gegevens betrokkene of beperken verwerking 
gegevens 



De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. In de Dpv moet de verant- 
woordelijke echter meer onderzoek doen om verspreiding van gegevens (door derden) tegen te gaan (in verband 
met het recht om te worden vergeten), waardoor ervan wordt uitgegaan dat het voldoen aan de verplichting in 
de Dpv meer lasten veroorzaakt dan in de Wbp. 



Het aantal verzoeken tot het wijzigen of wissen van persoonsgegevens is afhankelijk van de sector. Met name in 
de financiële sector worden relatief veel verzoeken ingediend, omdat betrokkenen hier hinder ondervinden van 
de verwerking van hun persoonsgegevens (bijvoorbeeld in het kader van kredietregistratie). 

Bij de berekening worden de lasten voor het voldoen aan deze verplichting geacht te zijn inbegrepen bij de 
lasten voor het voldoen aan artikel 35 Wbp dan wel de artikelen 12/15 Dpv. In praktijk wordt het voldoen aan 
beide verplichtingen door bedrijven namelijk gecombineerd, waar van toepassing. De lasten die hiermee ge- 
paard gaan, worden beschouwd als één kostenpost en niet als twee afzonderlijke kostenposten. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


38 


Kennis geven van wijziging persoonsgegevens 
aan derden en informeren betrokkene hierover 


12 


Informeren betrokkene over actie naar aanlei- 
ding van verzoek en verstrekken informatie 


13 


Op de hoogte stellen ontvanger van rectifica- 
tie of wissen gegevens 


De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. In de Wbp hoeft de betrok- 
kene alleen te worden geïnformeerd over de kennisgeving aan derden wanneer de betrokkene daarom verzoekt. 
In de Dpv moet de betrokkene hierover altijd worden geïnformeerd, waardoor ervan wordt uitgegaan dat het 
voldoen aan de verplichting in de Dpv meer lasten veroorzaakt dan in de Wbp. 

Bij de berekening worden de lasten voor het voldoen aan deze verplichting geacht te zijn inbegrepen bij de 
lasten voor het voldoen aan artikel 35 Wbp dan wel de artikelen 12115 Dpv. In praktijk wordt het voldoen aan 
beide verplichtingen door bedrijven namelijk gecombineerd, waar van toepassing. De lasten die hiermee ge- 
paard gaan, worden beschouwd als één kostenpost en niet als twee afzonderlijke kostenposten. 
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Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


40 


Beoordelen gerechtvaardigdheid verzet betrok- 
kene 


12 


Informeren betrokkene over actie naar aanlei- 
ding van verzoek en verstrekken informatie 


19 


Beoordelen gerechtvaardigdheid bezwaar 
betrokkene 



De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. 



Bij de berekening worden de lasten voor het voldoen aan deze verplichting geacht te zijn inbegrepen bij de 
lasten voor het voldoen aan artikel 35 Wbp dan wel de artikelen 12/15 Dpv. In praktijk wordt het voldoen aan 
beide verplichtingen door bedrijven namelijk gecombineerd, waar van toepassing. De lasten die hiermee ge- 
paard gaan, worden beschouwd als één kostenpost en niet als twee afzonderlijke kostenposten. 

Overigens bestaat tussen de Wbp en de Dpv een verschil in de wijze waarop een bedrijf de gerechtvaardigdheid 
van het verzet beoordeelt. In de Wbp maakt een bedrijf op basis van artikel 8 eerst een generieke belangenaf- 
weging, die op basis van artikel 40 wordt geïndividualiseerd. In de Dpv maakt een bedrijf op basis van artikel 6 
eerst een generieke belangenafweging, die in een bezwaarprocedure op basis van artikel 19 alleen stand kan 
houden wanneer het bedrijf dwingende legitieme gronden voor de verwerking aantoont. Dit betekent dat het 
bedrijf bij de generieke belangenafweging op basis van artikel 6 al dwingende legitieme gronden moet hebben 
voor de verwerking, omdat een bezwaar op basis van artikel 19 anders altijd gegrond zal zijn. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


41 


Treffen maatregelen ter beëindiging gegevens- 
verwerking en aan betrokkene opgeven welke 
maatregelen zijn genomen 


12 


Informeren betrokkene over actie naar aanlei- 
ding van verzoek en verstrekken informatie 


De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. 

Bij de berekening worden de lasten voor het voldoen aan deze verplichting geacht te zijn inbegrepen bij de 
lasten voor het voldoen aan artikel 35 Wbp dan wel de artikelen 12/15 Dpv. In praktijk wordt het voldoen aan 
beide verplichtingen door bedrijven namelijk gecombineerd, waar van toepassing. De lasten die hiermee ge- 
paard gaan, worden beschouwd als één kostenpost en niet als twee afzonderlijke kostenposten. 



Art. 


Verplichting op grond van Wbp 


Art. 


Verplichting op grond van Dpv 


41 


Nemen passende maatregelen om betrokkenen 
de mogelijkheid bekend te maken tot het doen 
van verzet bij verwerking voor commerciële of 
charitatieve doelen 


19 


Informeren betrokkene over mogelijkheid 
bezwaar wanneer persoonsgegevens worden 
verwerkt ten behoeve van direct marketing 


De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. 

Bij de berekening worden de lasten voor het voldoen aan deze verplichting geacht te zijn inbegrepen bij de 
lasten voor het voldoen aan artikel 35 Wbp dan wel de artikelen 121 15 Dpv. 




4.2 Verplichtingen die alleen gelden in de huidige situatie 

Deze paragraaf beschrijft de verplichtingen die alleen gelden op grond van de huidige Nederlandse 
Wet bescherming persoonsgegevens (Wbp). Het gaat hierbij dus om verplichtingen die in Nederland 
komen te vervallen wanneer de voorgenomen Dataprotectieverordening (Dpv) in werking treedt. Waar 
nodig, is per verplichting een toelichting opgenomen. 

Informatieverplichtingen die AL veroorzaken 



Art. 


Verplichting op grond van Wbp 


27 


Melden geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, die voor de verwezen- 
lijking van een doeleinde of van verscheidene samenhangende doeleinden is bestemd 


Op grond van artikel 28 Dpv moet daarentegen wet documentatie inzake verwerkingen worden bewaard. 



Art. 


Verplichting op grond van Wbp 


27 


Melden niet geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een 
doeleinde of van verscheidene samenhangende doeleinden is bestemd, indien deze is onderworpen aan 
een voorafgaand onderzoek 


Op grond van artikel 28 Dpv moet daarentegen wel documentatie inzake verwerkingen worden bewaard. 



Art. 


Verplichting op grond van Wbp 


28 


Melden wijziging initiële melding 


Op grond van artikel 28 Dpv moet daarentegen wet documentatie inzake verwerkingen worden bewaard. 



Overige verplichtingen die NK veroorzaken 



Art. 


Verplichting op grond van Wbp 


28 


Vastleggen en gedurende 3 jaren bewaren afwijkende verwerking 


Op grond van artikel 28 Dpv moet daarentegen wet documentatie inzake verwerkingen worden bewaard. 



Art. 


Verplichting op grond van Wbp 


30 


Bijhouden register aangemelde gegevensverwerkingen (inclusief overige werkzaamheden functionaris 
voor gegevensbescherming) 


In de Wbp is de aanstelling van een functionaris voor gegevensbescherming geen verplichting. De handeling is 
toch meegenomen in het onderzoek, omdat de lasten wel zijn meegenomen in de nulmeting AL. Hierdoor wordt 
de vergelijkbaarheid met de nulmeting AL gewaarborgd. 

Op grond van artikel 37 Dpv moet de functionaris voor gegevensbescherming er daarentegen wel voor zorgen 
dat documentatie inzake verwerkingen wordt bewaard. Alle taken van de functionaris voor gegevensbescher- 
ming in de Dpv zijn uiteraard wel in de berekening van de Dpv meegenomen (onder artikel 35 Dpv). 



Art. 


Verplichting op grond van Wbp 


30 


Verstrekken inlichtingen als bedoeld in artikel 28, eerste lid, onder a tot en met e, omtrent de van de 
aanmelding vrijgestelde gegevensverwerkingen aan een ieder die daarom verzoekt 
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Verplichtingen die alleen gelden in de voorgenomen situatie 

Deze paragraaf beschrijft de verplichtingen die alleen gelden op grond van de voorgenomen Europese 
Dataprotectieverordening (Dpv). Het gaat hierbij dus om nieuwe verplichtingen ten opzichte van de 
huidige Wet bescherming persoonsgegevens (Wbp) in Nederland. Per verplichting is een toelichting 
opgenomen. De toelichting bevat onder andere: 

■ Indien van toepassing, de vermelding dat de verplichting niet kon worden gekwantificeerd. 

■ De aannames die moesten worden gedaan bij het kwantificeren van de verplichting. 

■ De opmerkingen uit de interviews die weliswaar niet kwantificeerbaar, maar wel relevant zijn. 

Informatieverplichtingen die AL veroorzaken 



Art. Verplichting op grond van Dpv 



31 



Melden inbreuk in verband met persoonsgegevens aan toezichthoudende autoriteit 



De aanname voor de berekening is dat het aantal meldingen twee keer zo groot is als bij de berekening van de 
lasten van het Nederlandse wetsvoorstel meldplicht datalekken 9 . In het wetsvoorstel meldplicht datalekken 
geldt namelijk een bagatelregeling voor 'kleinere' inbreuken, terwijl op grond van de Dpv altijd moet worden 
gemeld. 

Daarnaast wordt enkel uitgegaan van de lasten voor het indienen van de melding. Hierdoor wordt de vergelijk- 
baarheid met de berekening van de lasten van het Nederlandse wetsvoorstel meldplicht datalekken gewaar- 
borgd. Het onderzoek dat het bedrijf uitvoert naar de oorzaak van en de oplossing voor het datalek, blijft 
buiten de berekening. 



Art. 



Verplichting op grond van Dpv 

Aantonen dat gegevens waarop inbreuk in verband met persoonsgegevens betrekking heeft onbegrijpelijk 
zijn gemaakt 



32 



De melding van een inbreuk aan de betrokkene is niet vereist wanneer de verantwoordelijke tot voldoening van 
de toezichthoudende autoriteit aantoont dat beschermingsmaatregelen zijn genomen en dat deze maatregelen 
werden toegepast op de gegevens waarop de inbreuk betrekking heeft. Deze beschermingsmaatregelen maken 
de gegevens onbegrijpelijk voor een ieder die geen recht op toegang daartoe heeft. Het aantonen aan de toe- 
zichthoudende autoriteit kan een bedrijf bijvoorbeeld doen door te registreren dat gegevens zijn versleuteld of 
onleesbaar zijn gemaakt. De lasten van deze verplichting konden niet worden gekwantificeerd; tijdens het 
onderzoek is gebleken dat bedrijven nog niet in staat zijn om de kwantitatieve effecten van deze toekomstige 
verplichting in te schatten. 



Art. 


Verplichting op grond van Dpv 


34 


Verstrekken privacyeffectbeoordeling aan toezichthoudende autoriteit 


De lasten van deze verplichting zijn meegenomen onder artikel 33 Dpv. 



Overige verplichtingen die NK veroorzaken 



Art. 


Verplichting op grond van Dpv 


12 


Vaststellen procedures voor verstrekken informatie en zorgen voor middelen om verzoeken elektronisch 
in te dienen 


De lasten van deze verplichting konden niet worden gekwantificeerd; tijdens het onderzoek is gebleken dat 
bedrijven nog niet in staat zijn om de kwantitatieve effecten van deze toekomstige verplichting in te schatten. 



9 Zoals door het Ministerie van Veiligheid en Justitie op 20 december 2011 gepubliceerd op 
http://www.internetconsultatie.nl/ en geraadpleegd op 29 mei 2013. 




Art. 


Verplichting op grond van Dpv 


17 


Informeren betrokkene over opheffen beperking verwerking gegevens 


De lasten van deze verplichting konden niet worden gekwantificeerd; tijdens het onderzoek is gebleken dat 
bedrijven nog niet in staat zijn om de kwantitatieve effecten van deze toekomstige verplichting in te schatten. 



Art. 


Verplichting op grond van Dpv 


17 


Vaststellen mechanismen om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van 
persoonsgegevens of voor periodieke beoordeling noodzaak opslag in acht worden genomen 


De lasten van deze verplichting konden niet worden gekwantificeerd; tijdens het onderzoek is gebleken dat 
bedrijven nog niet in staat zijn om de kwantitatieve effecten van deze toekomstige verplichting in te schatten. 



Art. Verplichting op grond van Dpv 



1£ 



Geven kopie gegevens die worden verwerkt in elektronisch en gestructureerd formaat 



Deze verplichting veronderstelt dat bedrijven investeren in de ontwikkeling van systemen, zodat betrokkenen 
hun gegevens in een algemeen gebruikt elektronisch formaat kunnen overdragen naar een ander geautomati- 
seerd verwerkingssysteem. Het zwaartepunt van de verplichting ligt dan ook in lid 2. De verplichting behelst 
een impliciete acceptatieplicht voor het bedrijf dat verantwoordelijk is voor het geautomatiseerde verwer- 
kingssysteem waarnaar de gegevens worden overgedragen. 

De aanname voor de berekening is dat deze verplichting in praktijk niet voor alle bedrijven zal gelden. Hoewel 
de tekst van de voorgenomen verordening ervan uit lijkt te gaan dat de verplichting geldt voor alle bedrijven, 
is voor de berekening een inschatting gemaakt van de bedrijven die naar verwachting met de verplichting wor- 
den geconfronteerd. Hierbij gaat het alleen om bedrijven van enige grootte in de branches energie, telecom- 
municatie, informatieservices, financiële dienstverlening en grote detailhandel. 

Daarnaast wordt aangenomen dat de verdeling van het aantal bedrijven per branche vergelijkbaar is met die in 
het Verenigd Koninkrijk. In de berekening is namelijk de aanname gedaan dat het deel van het totale aantal 
bedrijven dat valt onder de vermelde branches, hetzelfde is als het deel van het totale aantal bedrijven waar- 
van is uitgegaan in het onderzoek van het Verenigd Koninkrijk. 

Verder is voor de berekening aangenomen dat de kosten voor het voldoen aan deze verplichting per bedrijf 
minimaal € 125.000'° bedragen. Door de respondenten wordt aangegeven dat dit een conservatieve schatting is. 



Art. Verplichting op grond van Dpv 



22 



Vaststellen beleid om ervoor te zorgen en te kunnen aantonen dat verwerking persoonsgegevens in over- 
eenstemming met verordening wordt uitgevoerd 



Het vaststellen van beleid gaat gepaard met organisatieveranderingen, interne afstemming en eventuele ver- 
taalkosten. Beleid wordt opgesteld per systeem. Het voldoen aan deze verplichting kan dan ook veel tijd kos- 
ten. De lasten van deze verplichting konden echter niet worden gekwantificeerd; tijdens het onderzoek is 
gebleken dat bedrijven nog niet in staat zijn om de kwantitatieve effecten van deze toekomstige verplichting 
in te schatten. 

Overigens wordt deze tijd in de huidige situatie ook al besteed door bedrijven, met als uiteindelijk beoogd 
resultaat het voldoen aan artikel 33-34 Wbp. Deze verplichting uit de Wbp vergt van het bedrijf een soortgelij- 
ke inspanning. 



Art. 


Verplichting op grond van Dpv 


22 


Instellen mechanismen ter toetsing doeltreffendheid maatregelen als bedoeld in artikel 22, leden 1 en 2 


Het aanstellen van onafhankelijke interne of externe controleurs levert kosten op voor een bedrijf. Dit geldt 
ook voor het opstellen van een auditplan en het uitvoeren van monitoring. De lasten van deze verplichting 
konden echter niet worden gekwantificeerd; tijdens het onderzoek is gebleken dat bedrijven nog niet in staat 
zijn om de kwantitatieve effecten van deze toekomstige verplichting in te schatten. 



10 Bron: Impact on business of the proposed Data Protection Regulation, www.parliament.uk/documents/commons- 
vote-office/November_2012/22-11-12/7/-Justice-DataProtection.pdf, Written Ministerial Statement of 22 Novem- 
ber 2012, geraadpleegd op 29 mei 2013. 
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Art. 


Verplichting op grond van Dpv 


23 


Uitvoeren technische en organisatorische maatregelen, procedures en mechanismen om te voldoen aan 
verordening en ter waarborging bescherming rechten betrokkene 


De lasten van deze verplichting konden niet afzonderlijk worden gekwantificeerd. Bij de berekening van de Dpv 
is ervan uitgegaan dat deze lasten overlappen met de lasten voor het voldoen aan artikel 18 Dpv. Beide ver- 
plichtingen vergen namelijk investeringen in de ontwikkeling van systemen. De investeringen die hiervoor 
moeten worden gedaan, worden beschouwd als één kostenpost en niet als twee afzonderlijke kostenposten. 



Art. Verplichting op grond van Dpv 



28 



Bewaren documentatie inzake verwerkingen 



Deze verplichting ondervangt het vervallen van de meldingsverplichtingen op grond van de artikelen 27 & 28 
Wbp. De verplichting geldt niet voor organisaties met minder dan 250 werknemers die persoonsgegevens als 
nevenactiviteit verwerken. Het begrip 'nevenactiviteit' is echter niet concreet omschreven, waardoor veel 
ruimte bestaat voor interpretatie van de reikwijdte van de verplichting. 

De verplichting geldt dus voor grote bedrijven en voor kleine bedrijven die persoonsgegevens niet als nevenac- 
tiviteit verwerken. Voor de berekening zijn twee scenario's uitgewerkt waarbij een aanname is gedaan van het 
aantal kleine bedrijven dat persoonsgegevens niet als nevenactiviteit verwerkt. 

Het eerste scenario betreft de lage schatting: hierbij is aangenomen dat bedrijven in de volgende branches 
persoonsgegevens niet als nevenactiviteit verwerken: 

• Webwinkels 

• IT-dienstverleners 

• Dienstverleners op het gebied van informatie 

Het tweede scenario betreft de hoge schatting: hierbij is aangenomen dat bedrijven in de volgende branches 
persoonsgegevens niet als nevenactiviteit verwerken: 

Webwinkels 

IT-dienstverleners 

Dienstverleners op het gebied van informatie 
Telecommunicatiebedrijven 
Rechtskundige dienstverlening 
Arbeidsbemiddeling 
Gezondheidszorg 

Uiteraard zijn nog vele andere scenario's denkbaar. Zo kan het begrip 'nevenactiviteit' zodanig worden geïn- 
terpreteerd dat het alleen gaat om een toevallige verwerking van persoonsgegevens. Wanneer de verwerking 
niet toevallig is, maar accessoir aan (noodzakelijk geïntegreerd in) de hoofdactiviteit van het bedrijf, kan at 
niet meer worden gesproken van een nevenactiviteit. Vermoedelijk zou het aantal bedrijven dat persoonsgege- 
vens niet als nevenactiviteit verwerkt dan nog groter zijn dan in het tweede scenario. 

Daarnaast wordt aangenomen dat kleine bedrijven 5 verwerkingen en grote bedrijven 50 verwerkingen per jaar 
uitvoeren. Dit betreft een conservatieve schatting. 



Art. 


Verplichting op grond van Dpv 


31 


Documenteren inbreuken in verband met persoonsgegevens 


De aanname voor de berekening is dat het aantal documentaties twee keer zo groot is als bij de berekening van 
de lasten van het Nederlandse wetsvoorstel meldplicht datalekken. In het wetsvoorstel meldplicht datalekken 
geldt namelijk een bagatelregeling voor 'kleinere' inbreuken, terwijl op grond van de Dpv altijd moet worden 
gedocumenteerd. 




Art. 



Verplichting op grond van Dpv 



32 



Meedelen inbreuk in verband met persoonsgegevens aan betrokkene 



In het algemeen kan worden gesteld dat de kans op datalekken bij een kleine verwerking groter is dan bij een 
grote verwerking, omdat bij grote verwerkingen vanwege de focus binnen de organisatie waarschijnlijk eerder 
sprake zal zijn van adequate beveiligingsmaatregelen dan bij kleine verwerkingen. 

Eén datalek kan betrekking hebben op meerdere betrokkenen, waardoor het aantal meldingen aan betrokkenen 
hoger kan zijn dan het aantal datalekken. In theorie kan het aantal betrokkenen vele malen hoger zijn. Hiervan 
is op voorhand echter geen reële schatting te maken. 

De aanname voor de berekening is daarom dat sprake is van één betrokkene per datalek. Hierdoor wordt de 
vergelijkbaarheid met de berekening van de lasten van het Nederlandse wetsvoorstel meldplicht datalekken 
gewaarborgd. 



Art. Verplichting op grond van Dpv 



33 



Uitvoeren privacyeffectbeoordeling 



Een privacyeffectbeoordeling is verplicht wanneer verwerkingen naar hun aard, reikwijdte of doeleinden bij- 
zondere risico's inhouden voor de rechten en vrijheden van de betrokkenen. Het begrip 'bijzondere risico's' is 
echter niet concreet omschreven, waardoor ruimte bestaat voor interpretatie van de reikwijdte van de ver- 
plichting. 

De aanname voor de berekening is dat kleine bedrijven 1 privacyeffectbeoordeling en grote bedrijven 5 priva- 
cyeffectbeoordelingen per jaar uitvoeren, waarbij het alleen gaat om bedrijven die staan geregistreerd bij het 
College bescherming persoonsgegevens. Dit betreft een conservatieve schatting. In sommige sectoren kan het 
aantal privacyeffectbeoordelingen per bedrijf vele malen hoger zijn. 

Overigens impliceert de tekst van de verordening dat eerst een quick scan wordt gedaan voordat een echte 
privacyeffectbeoordeling wordt uitgevoerd. Er moet immers eerst worden vastgesteld dat sprake is van bijzon- 
dere risico's. 



Art. Verplichting op grond van Dpv 



35 



Aanwijzen functionaris voor gegevensbescherming 



In de Wbp is de aanstelling van een functionaris voor gegevensbescherming geen verplichting. In de Dpv geldt 
de verplichting wanneer: 

a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan; of 

b) de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers; of 

c) een verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, 
omvang en/ of doel regelmatige en stelselmatige observatie van betrokkenen vereisen. 

In de berekening van de lasten van deze verplichting zijn ook de kosten voor het uitvoeren van de taken van de 
functionaris voor gegevensbescherming inbegrepen. 

De aanname voor de berekening is dat 4% van de kleine bedrijven hoofdzakelijk is belast met verwerkingen die 
vanwege hun aard, omvang en/of doel regelmatige en stelselmatige observatie van betrokkenen vereisen. Deze 
kleine bedrijven stellen geen vaste functionaris voor gegevensbescherming aan, maar huren een externe partij 
in om de taken van een functionaris voor gegevensbescherming te vervullen. Aangenomen wordt dat de inge- 
huurde functionaris per jaar 24 uur wordt ingehuurd door een klein bedrijf. Dit betreft een conservatieve 
schatting. 

Voor grote bedrijven wordt aangenomen dat zij 1 functionaris voor gegevensbescherming in dienst nemen. Dit 
betreft een conservatieve schatting. Om dubbeltelling te voorkomen, wordt ervan uitgegaan dat 75% van de 
werkzaamheden van de functionaris voor gegevensbescherming reeds is opgenomen onder de lasten van de 
overige verplichtingen (bijvoorbeeld artikel 33). Dit betekent dat voor deze verplichting wordt gerekend met 
25% van de loonkosten van een functionaris voor gegevensbescherming. Opgemerkt wordt dat wel verschillende 
opvattingen bestaan over de taken van een functionaris voor gegevensbescherming. 

De opleidingskosten van de functionaris voor gegevensbescherming worden hierbij nog opgeteld. 

Opgemerkt wordt nog dat het hier alleen gaat om de kosten van een functionaris voor gegevensbescherming 
zelf. Daarnaast moet een bedrijf ook uren vrijmaken voor het introduceren van een functionaris voor gegevens- 
bescherming in de organisatie en het opvolgen van diens aanwijzingen. 
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5 Vergelijking administratieve lasten en nalevingskosten 

In dit hoofdstuk zijn de lasten van zowel de voorgenomen Dataprotectieverordening als de Wet be- 
scherming persoonsgegevens weergegeven. De lasten zijn berekend in het SKM en worden veroorzaakt 
door de verplichtingen zoals omschreven in hoofdstuk 4 en de hierbij beschreven aannames die zijn 
gehanteerd. Het bijgevoegde SKM bevat meer informatie over de wijze waarop de lasten zijn bere- 
kend. Hierbij is per handeling exact aangegeven waarop de berekende lasten zijn gebaseerd. 

5.1 Administratieve lasten 

In tabel 3 zijn de AL weergegeven die worden veroorzaakt door de voorgenomen Dataprotectieveror- 
dening. In tabel 4 zijn de AL weergegeven die worden veroorzaakt door de Wet bescherming per- 
soonsgegevens. 



Tabel 3. AL op grond van de Europese Dataprotectieverordening. 



Art. 


Verplichting 


Lasten 


9. 


Aanvragen ontheffing op verbod verwerking persoonsgegevens op grond van artikel 9 


€ 


87 


31. 


Melden inbreuk in verband met persoonsgegevens aan toezichthoudende autoriteit 


€ 


982.500 


34. 


Raadplegen toezichthoudende autoriteit voorafgaand aan verwerking 
persoonsgegevens 


€ 


818 


34/ 
44. 


Vragen toestemming toezichthoudende autoriteit voorafgaand aan verwerking 
persoonsgegevens en in kennis stellen toezichthoudende autoriteit van doorgifte bij 
gerechtvaardigde belangen verantwoordelijke of verwerker inclusief documentatie 


€ 


202.500 


35. 


Meedelen naam en contactgegevens functionaris voor gegevensbescherming 


€ 


254.627 


38. 


Aanvragen erkenning gedragscode 


€ 


50.000 


Totaal 


€ 


1.490.532 


Tabel 4. AL op grond van de Nederlandse Wet bescherming persoonsgegevens. 


Art. 


Verplichting 




Lasten 


23. 


Aanvragen ontheffing op verbod verwerking persoonsgegevens op grond van artikel 
16 


€ 


87 


25. 


Aanvragen erkenning gedragscode 


€ 


50.000 


32. 


Melden gegevensverwerking waarop artikel 31, eerste lid van toepassing is bij CBP 


€ 


818 


63. 


Aanmelden functionaris voor gegevensbescherming bij CBP 


€ 


108 


77. 


Aanvragen vergunning voor doorgifte of categorie doorgiften persoonsgegevens naar 
derde land dat geen waarborgen voor een passend beschermingsniveau biedt 


€ 


202.500 


27. 


Melden geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, 
die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende 
doeleinden is bestemd 


€ 


351.000 


28. 


Melden wijziging initiële melding 


€ 


1.121.850 


Totaal 


€ 


1.726.363 



Met de inwerkingtreding van de voorgenomen Dataprotectieverordening dalen de AL voor het Neder- 
landse bedrijfsleven van € 1 .726.363 naar € 1 .490.532 per jaar. 

Zoals in het vorige hoofdstuk reeds beschreven, worden enkele informatieverplichtingen uit de huidi- 
ge Wet bescherming persoonsgegevens echter ondervangen door de documentatieverplichting van 
artikel 28 van de Dataprotectieverordening. De lasten die voortkomen uit dit artikel, zijn volgens de 
definitie echter geen AL, maar NK. Deze lasten zijn daarom opgenomen in de volgende paragraaf. 
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Nalevingskosten 

In tabel 5 zijn de NK weergegeven die worden veroorzaakt door de voorgenomen Dataprotectieveror- 
dening. In tabel 6 zijn de NK weergegeven die worden veroorzaakt door de Wet bescherming per- 
soonsgegevens. Opgemerkt wordt dat de lasten van meerdere verplichtingen niet konden worden 
gekwantificeerd. Daardoor kunnen de feitelijke lasten in praktijk hoger uitvallen. 



Tabel 5. NK op grond van de Europese Dataprotectieverordening. 



Art. 


Verplichting 




Lage schatting 




Hoge schatting 


15. 


Aan betrokkene verstrekken uitsluitsel of persoonsgegevens 
worden verwerkt en verstrekken gegevens (passief) 


€ 


68.137.500 


€ 


68.137.500 


18/ 
23. 


Geven kopie gegevens die worden verwerkt in elektronisch 
en gestructureerd formaat en uitvoeren technische en 
organisatorische maatregelen, procedures en mechanismen 
om te voldoen aan verordening en ter waarborging 
bescherming rechten betrokkene 


€ 


87.041.235 


€ 


87.041.235 


26. 


Regelen uitvoering verwerkingen door verwerker in 
overeenkomst/rechtshandeling 


€ 


2.543.400 


€ 


2.543.400 


28. 


Bewaren documentatie inzake verwerkingen 


€ 


156.337.500 


€ 


499.912.500 


31. 


Documenteren inbreuken in verband met persoonsgegevens 


€ 


982.500 


€ 


982.500 


32. 


Meedelen inbreuk in verband met persoonsgegevens aan 
betrokkene 


€ 


388.875 


€ 


388.875 


33. 


Uitvoeren privacyeffectbeoordeling 


€ 


471.612.500 


€ 


471.612.500 


34. 


Meewerken aan toezicht door toezichthoudende autoriteit 


€ 


20.438 


€ 


20.438 


35. 


Aanwijzen functionaris voor gegevensbescherming 


€ 


336.935.000 


€ 


336.935.000 


Totaal 


€ 


1.123.998.948 


€ 


1.467.573.948 


Tabel 6. NK op grond van de Nederlandse Wet bescherming persoonsgegevens. 


Art. 


Verplichting 








Lasten 


14. 


Vastleggen overeenkomst/rechtshandeling met bewerker 


€ 


2.543.400 


28. 


Vastleggen en gedurende 3 jaren bewaren afwijkende verwerking 


€ 


13.650 


30. 


Bijhouden register aangemelde gegevensverwerkingen (inclusief overige werkzaam- 
heden functionaris voor gegevensbescherming) 


€ 


89.728 


31. 


Meewerken aan voorafgaand onderzoek door CBP 


€ 


20.438 


35. 


Aan betrokkene meedelen of persoonsgegevens worden verwerkt en verstrekken 
gegevens (passief) 


€ 


68.137.500 


Totaal 


€ 


70.804.716 



Met de inwerkingtreding van de voorgenomen Dataprotectieverordening stijgen de NK voor het Neder- 
landse bedrijfsleven van € 70.804.716 naar minimaal € 1.123.998.948. 

Wanneer wordt uitgegaan van het tweede scenario (hoge schatting) 11 met betrekking tot de documen- 
tatieplicht van artikel 28 van de voorgenomen Dataprotectieverordening, stijgen de NK naar € 
1.467.573.948. 



11 Zie hoofdstuk 4 voor een beschrijving van de scenario's. 




5.3 Samenvatting van de resultaten 

In tabel 7 zijn de totale lasten weergegeven die worden veroorzaakt door de voorgenomen Datapro- 
tectieverordening. In tabel 8 zijn de totale lasten weergegeven die worden veroorzaakt door de Wet 
bescherming persoonsgegevens. Opgemerkt wordt dat de lasten van meerdere verplichtingen niet 
konden worden gekwantificeerd. Daardoor kunnen de feitelijke lasten in praktijk hoger uitvallen. 



Tabel 7. Samenvatting lasten op grond van de Europese Dataprotectieverordening. 



Type lasten 




Lage schatting 




Hoge schatting 


Administratieve lasten (AL) 


€ 


1.490.532 


€ 


1.490.532 


Nalevingskosten (NK) 


€ 


1.123.998.948 


€ 


1.467.573.948 


Totaal 


€ 


1.125.489.480 


€ 


1.469.064.480 


Tabel 8. Samenvatting lasten op grond van de Nederlandse Wet bescherming persoonsgegevens. 


Type lasten 








Lasten 


Administratieve lasten (AL) 


€ 


1.726.363 


Nalevingskosten (NK) 


€ 


70.804.716 


Totaal 


€ 


72.531.079 



Met de inwerkingtreding van de voorgenomen Dataprotectieverordening stijgen de totale lasten voor 
het Nederlandse bedrijfsleven van € 72.531.079 naar minimaal € 1.125.489.480. Het totale kwantifi- 
ceerbare effect van de voorgenomen Europese Dataprotectieverordening op de lasten voor het Neder- 
landse bedrijfsleven komt hiermee uit op een toename van minimaal € 1.052.958.401. 

Wanneer wordt uitgegaan van het tweede scenario (hoge schatting) met betrekking tot de documenta- 
tieplicht van artikel 28 van de voorgenomen Dataprotectieverordening, stijgen de totale lasten naar € 
1.469.064.480. Het totale kwantificeerbare effect van de voorgenomen Europese Dataprotectieveror- 
dening op de lasten voor het Nederlandse bedrijfsleven komt dan uit op een toename van € 
1.396.533.401. 
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6 



Vergelijking met andere onderzoeken 



6.1 The impact of the Data Protection Regulation in the E.U. 

In het rapport The Impact of the Data Protection Regulation in the E.U. 12 zijn de resultaten weergege- 
ven van een onderzoek naar het effect van de voorgenomen Dataprotectieverordening op het midden- 
en kleinbedrijf (MKB). 

Uitgangspunten 

In zowel het onderzoek dat heeft geleid tot het rapport The Impact of the Data Protection Regulation 
in the E.U. als het onderzoek Toetsing Europese Dataprotectieverordening is een wetstechnische ana- 
lyse gemaakt van de (groepen van) verplichtingen uit de voorgenomen Dataprotectieverordening. 
Deze analyse heeft in beide onderzoeken de basis gevormd voor de berekening van de lasten. 

Er zijn echter ook een aantal belangrijke verschillen in de uitgangspunten van beide onderzoeken. Zo 
blijkt uit het rapport The Impact of the Data Protection Regulation in the E.U. het volgende: 

■ Het onderzoek richt zich specifiek op het MKB en laat daarmee grote bedrijven buiten beschou- 
wing. 

■ In het onderzoek zijn een aantal specifieke branches uitgelicht. Voor elk van deze branches is een 
afzonderlijke berekening gemaakt. 

■ Het onderzoek strekt zich uit tot bedrijven in de gehele EU. 

■ Het onderzoek betreft een effectmeting van de Dataprotectieverordening en geeft geen informa- 
tie over de lasten in de huidige situatie. 

■ Het onderzoek van de Europese Commissie naar de effecten van de voorgenomen Dataprotectie- 
verordening 13 is aangehouden als startpunt voor de berekeningen. De resultaten uit dat onderzoek 
zijn vervolgens aangepast aan de hand van onderzoek van derden. 

Resultaten 

Volgens het rapport The Impact of the Data Protection Regulation in the E.U. stijgen de lasten voor 
een gemiddeld MKB-bedrijf met € 3.000 tot € 7.200 per jaar, afhankelijk van de branche. Daarnaast is 
berekend dat deze lasten 16% tot 40% van het jaarlijkse IT-budget van MKB-bedrijven bedragen. Het 
gaat hier om de directe lasten die voortkomen uit de verordening. 

Op basis van deze berekeningen is tevens een schatting gemaakt van het indirecte effect van de voor- 
genomen Dataprotectieverordening, namelijk het effect op de groei van werkgelegenheid. Ingeschat 
wordt dat de verordening een substantieel negatief effect heeft op de groei van werkgelegenheid. Dit 
negatieve effect is groter in branches waarin de directe kosten op grond van de verordening hoger 
zijn, zoals branches waarin bedrijven zijn verplicht om een functionaris voor gegevensbescherming 
aan te wijzen. 



12 L. Christensen (Analysis Group, Denver), A. Colciago (University of Milan, Bicocca), F. Etro (Ca' Foscari Universi- 
ty, Venice) en G. Rafert (Analysis Group, Denver), 13 februari 2013. 

13 Impact Assessment, SEC(2012) 72, Commission Staff Working Paper, 25 januari 2012. 
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Verschil 

De lasten die zijn berekend in het onderzoek dat heeft geleid tot het rapport The Impact of the Data 
Protection Regulation in the E.U., zijn hoger dan de lasten die zijn berekend in het onderzoek Toet- 
sing Europese Dataprotectieverordening. Wanneer de resultaten uit het rapport The Impact of the 
Data Protection Regulation in the E.U. worden toegepast op de Nederlandse situatie, zou de stijging 
van de lasten voor het Nederlandse MKB namelijk tussen € 2.607.000.000 en € 6.256.800.000 per jaar 
bedragen. Zoals weergegeven in hoofdstuk 5, stijgen de lasten voor het gehele Nederlandse bedrijfs- 
leven op grond van het onderzoek Toetsing Europese Dataprotectieverordening echter tussen € 
1.052.958.401 en € 1 .396.533.401 . 

De hierboven vermelde verschillen in uitgangspunten zijn niet de enige verklaring voor het verschil in 
resultaten. Het verschil in resultaten kan ook worden verklaard doordat in het onderzoek dat heeft 
geleid tot het rapport The Impact of the Data Protection Regulation in the E.U. meer verplichtingen 
zijn gekwantificeerd dan in het onderzoek Toetsing Europese Dataprotectieverordening. Zo zijn ver- 
plichtingen gekwantificeerd waarvan de lasten in het onderzoek Toetsing Europese Dataprotectiever- 
ordening niet afzonderlijk zijn meegenomen in de berekening. Het gaat hierbij om de verplichtingen 
op grond van: 

■ De artikelen 5, 19 en 20 met betrekking tot het minimaliseren van de verwerking van persoonsge- 
gevens en maatregelen op basis van profilering. 

■ Artikel 7 met betrekking tot de voorwaarden voor toestemming. 

■ Artikel 8 met betrekking tot de verwerking van persoonsgegevens van kinderen. 

■ Artikel 1 1 met betrekking tot het principe van transparantie van informatieverstrekking en com- 
municatie. 

■ De artikelen 24 en 25 met betrekking tot de gezamenlijk voor de verwerking verantwoordelijken 
en vertegenwoordigers van niet in de EU gevestigde verantwoordelijken. 



6.2 Impact on business of the proposed Data Protection Regulation 

In het rapport Impact on business of the proposed Data Protection Regulation 14 heeft het Ministerie 
van Justitie van het Verenigd Koninkrijk de resultaten weergegeven van een onderzoek naar het effect 
van de voorgenomen Dataprotectieverordening. 

Uitgangspunten 

De uitgangspunten van het Verenigd Koninkrijk zijn gedeeltelijk overgenomen door VNO-NCW, die de 
lasten voor het Nederlandse bedrijfsleven heeft berekend (zie § 6.3). Aangezien in het onderzoek 
Toetsing Europese Dataprotectieverordening gedeeltelijk gebruik is gemaakt van de kostenberekening 
van VNO-NCW, komen de uitgangspunten van het Verenigd Koninkrijk ook gedeeltelijk terug in het 
onderzoek Toetsing Europese Dataprotectieverordening. 

Er zijn echter ook een aantal verschillen in de uitgangspunten van het onderzoek van het Verenigd 
Koninkrijk en het onderzoek Toetsing Europese Dataprotectieverordening. Zo blijkt uit het onderzoek 
van het Verenigd Koninkrijk het volgende: 

■ Het onderzoek is alleen gericht op bedrijven in het Verenigd Koninkrijk. 

■ Het onderzoek betreft een effectmeting van de Dataprotectieverordening en geeft geen informa- 
tie over de lasten in de huidige situatie. 

■ Het onderzoek van de Europese Commissie naar de effecten van de voorgenomen Dataprotectie- 
verordening 15 is aangehouden als startpunt voor de berekeningen. De resultaten uit dat onderzoek 
zijn vervolgens aangepast aan de hand van nader onderzoek. 

Resultaten 

Volgens het onderzoek van het Verenigd Koninkrijk stijgen de lasten voor het bedrijfsleven. De lasten 
zijn afzonderlijk berekend voor een aantal verplichtingen: 

■ Het melden van een inbreuk in verband met persoonsgegevens kost het bedrijfsleven tussen € 
138.000.000 en € 375.000.000 per jaar. 

■ Het aanwijzen van een functionaris voor gegevensbescherming kost het MKB minimaal € 
42.000.000 per jaar. 

■ Het verstrekken van uitsluitsel of persoonsgegevens worden verwerkt en het verstrekken van de 
gegevens aan de betrokkene kost het bedrijfsleven tussen € 15.000.000 en € 47.000.000 per jaar 
meer dan in de huidige situatie. 

■ Het uitvoeren van privacyeffectbeoordelingen kost het bedrijfsleven tussen € 84.000.000 en € 
170.000.000 per jaar. 

■ Het geven van een kopie van de gegevens die worden verwerkt in elektronisch en gestructureerd 
formaat en de hiervoor vereiste dataportabiliteit kost het bedrijfsleven minimaal € 125.000 per 
bedrijf. Hierbij is ervan uitgegaan dat de verplichting in praktijk alleen geldt voor bedrijven van 
enige grootte in de branches energie, telecommunicatie, informatieservices, financiële 
dienstverlening en grote detailhandel. 



14 Impact on business of the proposed Data Protection Regulation, www.parliament.uk/documents/commons-vote- 
office/November_2012/22-11-12/7/-Justice-DataProtection.pdf, Written Ministerial Statement of 22 November 
2012, geraadpleegd op 29 mei 2013. 

15 Impact Assessment, SEC(2012) 72, Commission Staff Working Paper, 25 januari 2012. 
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Verschil 

Zoals hierboven reeds vermeld, komen de uitgangspunten die zijn gehanteerd in het onderzoek van 
het Verenigd Koninkrijk, niet geheel overeen met de uitgangspunten van het onderzoek Toetsing Eu- 
ropese Dataprotectieverordening. Dit leidt per verplichting tot een afwijking in de berekende resulta- 
ten. Daarnaast zijn bij de berekeningen van de afzonderlijke verplichtingen een aantal aannames 
gedaan die niet overeenkomen met de aannames die zijn gedaan in het onderzoek Toetsing Europese 
Dataprotectieverordening. Het gaat hierbij om de volgende aannames: 

■ De lasten voor het melden van een inbreuk in verband met persoonsgegevens omvatten eveneens 
de lasten voor het onderzoek dat het bedrijf uitvoert naar de oorzaak van en de oplossing voor 
het datalek. In het onderzoek Toetsing Europese Dataprotectieverordening blijven deze lasten 
buiten beschouwing en wordt enkel uitgegaan van de lasten voor het indienen van de melding. 

■ De werkzaamheden van een functionaris voor gegevensbescherming kosten per MKB-bedrijf 4 uur 
per jaar. In het onderzoek Toetsing Europese Dataprotectieverordening is uitgegaan van 24 uur 
per jaar. 

■ Het vervallen van de mogelijkheid om als verantwoordelijke een vergoeding te vragen voor een 
verzoek tot het verstrekken van uitsluitsel of persoonsgegevens worden verwerkt, leidt tot een 
toename van het aantal verzoeken met 25% tot 40%. In het onderzoek Toetsing Europese Datapro- 
tectieverordening is ervan uitgegaan dat het vervallen van de mogelijkheid om een vergoeding te 
vragen niet leidt tot een wijziging van het aantal verzoeken. 

■ Voor 89% van de grote bedrijven en 74% van de kleine bedrijven geldt dat zij reeds privacyeffect- 
beoordelingen uitvoeren. Het effect van deze verplichting wordt daarom alleen berekend over de 
11% van de grote bedrijven en 26% van de kleine bedrijven die nog geen privacyeffectbeoordelin- 
gen uitvoeren. In het onderzoek Toetsing Europese Dataprotectieverordening is ervan uitgegaan 
dat vrijwel alle grote bedrijven en alle kleine bedrijven nog geen privacyeffectbeoordelingen uit- 
voeren. 

Het Verenigd Koninkrijk heeft de kosten voor het betalen van boetes meegenomen in het onderzoek. 
De kosten hiervoor liggen tussen € 78.000.000 en € 466.000.000. In het onderzoek Toetsing Europese 
Dataprotectieverordening zijn deze kosten niet meegenomen, omdat ervan wordt uitgegaan dat de 
regels voor 100% worden nageleefd. 

In het onderzoek van het Verenigd Koninkrijk ontbreken de lasten van een aantal verplichtingen die 
wel zijn berekend in het onderzoek Toetsing Europese Dataprotectieverordening. Zo ontbreken de 
lasten van de verplichting om documentatie inzake verwerkingen te bewaren. Deze lasten bedragen 
op grond van het onderzoek Toetsing Europese Dataprotectieverordening tussen € 156.337.500 en € 
499.912.500. Ook de lasten voor grote bedrijven voor het aanwijzen van een functionaris voor 
gegevensbescherming zijn niet meegenomen in de berekening van het Verenigd Koninkrijk. 



6.3 Rough estimate of DPR cost to Dutch Business 

In het rapport Rough estimate of DPR cost to Dutch Business 16 heeft VNO-NCW de resultaten weerge- 
geven van een onderzoek naar het effect van de voorgenomen Dataprotectieverordem'ng. 

Uitgangspunten 

Aangezien in het onderzoek Toetsing Europese Dataprotectieverordening gedeeltelijk gebruik is ge- 
maakt van de kostenberekening van VNO-NCW, komen de uitgangspunten van beide onderzoeken 
gedeeltelijk overeen. 

Er zijn echter een aantal verschillen in de uitgangspunten van het onderzoek van VNO-NCW en het 
onderzoek Toetsing Europese Dataprotectieverordening. Zo blijkt uit het onderzoek van VNO-NCW het 
volgende: 

■ Het onderzoek betreft een lastenmeting van de Dataprotectieverordening en geeft geen informa- 
tie over de lasten in de huidige situatie. 

■ Het onderzoek van het Verenigd Koninkrijk naar de effecten van de voorgenomen Dataprotectie- 
verordening is aangehouden als startpunt voor de berekeningen. De resultaten uit dat onderzoek 
zijn vervolgens aangepast aan de hand van nader onderzoek. 

Resultaten 

Volgens het rapport van VNO-NCW bedragen de lasten voor het Nederlandse bedrijfsleven tussen € 
1.294.789.300 en € 3.733.697.500. De lasten zijn berekend voor een aantal verplichtingen: 

■ Het melden van een inbreuk in verband met persoonsgegevens kost het bedrijfsleven tussen € 
270.812.000 en € 829.895.000 per jaar wanneer alle inbreuken moeten worden gemeld en tussen 
€ 14.911.800 en € 45.696.750 per jaar wanneer alleen inbreuken moeten worden gemeld die een 
hoog risico voor de betrokkene met zich meebrengen. 

■ Het aanwijzen van een functionaris voor gegevensbescherming kost het bedrijfsleven tussen € 
331 .010.000 en € 801 .060.000 per jaar. 

■ Het geven van een kopie van de gegevens die worden verwerkt in elektronisch en gestructureerd 
formaat en de hiervoor vereiste dataportabiliteit kost het bedrijfsleven € 130.942.500. Hierbij is 
ervan uitgegaan dat de verplichting in praktijk alleen geldt voor bedrijven van enige grootte in de 
branches energie, telecommunicatie, informatieservices, financiële dienstverlening en grote 
detailhandel. Daarnaast wordt aangenomen dat de verdeling van het aantal bedrijven per branche 
vergelijkbaar is met die in het Verenigd Koninkrijk. In de berekening is namelijk de aanname 
gedaan dat het deel van het totale aantal bedrijven dat valt onder de vermelde branches, 
hetzelfde is als het deel van het totale aantal bedrijven waarvan is uitgegaan in het onderzoek 
van het Verenigd Koninkrijk. 

■ Het verstrekken van uitsluitsel of persoonsgegevens worden verwerkt en het verstrekken van de 
gegevens aan de betrokkene kost het bedrijfsleven € 68.137.500 per jaar. 

■ Het uitvoeren van privacyeffectbeoordelingen kost het bedrijfsleven € 471 .612.500 per jaar. 

■ Het bewaren van documentatie inzake verwerkingen kost het bedrijfsleven € 1.362.750.000 per 
jaar wanneer alle verwerkingen moeten worden gedocumenteerd en € 266.625.000 per jaar 
wanneer alleen verwerkingen moeten worden gedocumenteerd die een hoog risico voor de 
betrokkene met zich meebrengen. 

Daarnaast kost het betalen van boetes het bedrijfsleven € 11.550.000 per jaar dan wel € 69.300.000 
per jaar, afhankelijk van de vraag of de omzet van micro-ondernemingen wordt meegerekend met de 
omzet van alle bedrijven. 



16 Informeel document, opgesteld door VNO-NCW. 
SIRA Consulting 
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Verschil 

De lasten die zijn berekend in het onderzoek van VNO-NCW, zijn hoger dan de lasten die zijn bere- 
kend in het onderzoek Toetsing Europese Dataprotectieverordening. Volgens VNO-NCW bedragen de 
lasten van de voorgenomen Dataprotectieverordening voor het Nederlandse bedrijfsleven tussen € 
1.294.789.300 en € 3.733.697.500. Zoals weergegeven in hoofdstuk 5, bedragen de lasten op grond 
van het onderzoek Toetsing Europese Dataprotectieverordening echter tussen € 1.125.489.480 en € 
1.469.064.480. 

Het verschil in resultaten kan worden verklaard doordat bij de berekeningen van de afzonderlijke 
verplichtingen door VNO-NCW een aantal aannames zijn gedaan die niet overeenkomen met de aan- 
names die zijn gedaan in het onderzoek Toetsing Europese Dataprotectieverordening. Het gaat hierbij 
om de volgende aannames: 

■ De lasten voor het melden van een inbreuk in verband met persoonsgegevens omvatten eveneens 
de lasten voor het onderzoek dat het bedrijf uitvoert naar de oorzaak van en de oplossing voor 
het datalek. In het onderzoek Toetsing Europese Dataprotectieverordening blijven deze lasten 
buiten beschouwing en wordt enkel uitgegaan van de lasten voor het indienen van de melding. 

■ De werkzaamheden van een functionaris voor gegevensbescherming kosten per MKB-bedrijf tussen 
4 en 24 uur per jaar. Een groot bedrijf moet tussen 0,75 en 1,5 functionaris voor gegevensbe- 
scherming aanwijzen met een salaris van € 100.000 per jaar. In het onderzoek Toetsing Europese 
Dataprotectieverordening is ervan uitgegaan dat de werkzaamheden van een functionaris voor ge- 
gevensbescherming per MKB-bedrijf 24 uur per jaar kosten. Daarnaast is ervan uitgegaan dat een 
groot bedrijf 1 functionaris voor gegevensbescherming moet aanwijzen met een salaris van € 
100.000 per jaar. Dit salaris is echter voor 75% verdisconteerd in reeds gekwantificeerde verplich- 
tingen. Daarom is gerekend met 25% van € 100.000 per jaar. Wel zijn hier nog de jaarlijkse oplei- 
dingskosten bij opgeteld. 

■ De verplichting tot het geven van een kopie van de gegevens die worden verwerkt in elektronisch 
en gestructureerd formaat en de hiervoor vereiste dataportabiliteit geldt voor 0,1% van alle be- 
drijven, omdat de verplichting in het Verenigd Koninkrijk ook voor 0,1% van alle bedrijven geldt. 
Hierdoor geldt de verplichting voor 873 Nederlandse bedrijven. De kosten bedragen € 150.000 per 
bedrijf. In het onderzoek Toetsing Europese Dataprotectieverordening is ervan uitgegaan dat de 
verplichting geldt voor 0,07976% van alle bedrijven, omdat de verplichting in het Verenigd Ko- 
ninkrijk ook voor 0,07976% van alle bedrijven geldt. Hierdoor geldt de verplichting voor 696 
Nederlandse bedrijven. De kosten bedragen minimaal € 125.000 per bedrijf, maar er moet 
rekening mee worden gehouden dat de kosten hoger kunnen uitvallen. 

■ De verplichting tot het bewaren van documentatie inzake verwerkingen geldt voor alle bedrijven. 
Kleine bedrijven voeren 5 verwerkingen per jaar uit en grote bedrijven voeren 50 verwerkingen 
per jaar uit. Wanneer alleen verwerkingen moeten worden gedocumenteerd die een hoog risico 
voor de betrokkene met zich meebrengen, geldt de verplichting voor 1 verwerking per klein 
bedrijf en voor 5 verwerkingen per groot bedrijf. In het onderzoek Toetsing Europese Dataprotec- 
tieverordening is ervan uitgegaan dat de verplichting tot het bewaren van documentatie inzake 
verwerkingen niet geldt voor organisaties met minder dan 250 werknemers die persoonsgegevens 
als nevenactiviteit verwerken. Hiervoor zijn twee scenario's uitgewerkt voor wat betreft het 
aantal kleine bedrijven dat persoonsgegevens niet als nevenactiviteit verwerkt. Daarnaast is 
ervan uitgegaan dat alle verwerkingen moeten worden gedocumenteerd en dus niet alleen de 
verwerkingen die een hoog risico voor de betrokkene met zich meebrengen. 



VNO-NCW heeft de kosten voor het betalen van boetes wel meegenomen in het onderzoek. De kosten 
hiervoor liggen ofwel op € 11.550.000 per jaar ofwel op € 69.300.000 per jaar, afhankelijk van het wel 
of niet meerekenen van de omzet van micro-ondernemingen. In het onderzoek Toetsing Europese 
Dataprotectieverordening zijn deze kosten niet meegenomen, omdat ervan wordt uitgegaan dat de 
regels voor 100% worden nageleefd. 

In het onderzoek van VNO-NCW ontbreken de lasten van enkele verplichtingen die wel zijn berekend 
in het onderzoek Toetsing Europese Dataprotectieverordening. Zo ontbreken de lasten van de ver- 
plichting om de uitvoering van verwerkingen door een verwerker vast te leggen in een 
overeenkomst/rechtshandeling. Daarnaast ontbreken de lasten van enkele informatieverplichtingen. 
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